Herkese selam! Bu yazımda ele aldığım konu SYSMON Nedir , Keyifli Okumalar.  🙂

Sistem üzerinde gerçekleştirilen olaylara ait ön tanımlı olarak kayıt edilmeyen olayları ağımızdaki gelişmiş tehditleri tespit etmemize yardımcı olabilecek ana bilgisayar düzeyinde önemli bir izleme sunup kayıt etmeyi sağlayan Windows Sysinternals ailesi içerisinde yer alan ücretsiz bir araçtır.

Peki sysmon bize ne sunar

-Sysmon komut satırında loglama sağlar

Yani biz Cmd’yi veya Powershell’i açtığımız da burada yazdığımız tüm komutları sysmon üzerinde yazdığımız kurallar neticesinde loglayabiliyoruz.

Bunun yanında oluşan Event değerleri de sysmon tarafından saklanıyor bunların özet değelerini de oluşan

-SHA1,MD5,SHA256 ve IMPHASH algoritmalarından özet değerlerini alabiliriz.

-Birden fazla hash değerini de aynı anda sysmon kaydetme özelliğine sahiptir.

-GUID değerlerini de kaydedebilme özelliğine sahip buda korelasyon için kullanılabilmekte.

-DLL,Deriver yükleme olaylarını imza ve hash değeri ile birlikte kaydedebiliyor

-Dns loglama yapabilmekte

Aynı zamanda ağ bağlantılarını takip etmekte örneğin cmd veya herhangi bir browser üzerinden bunun nerelere hangi port üzerinden bağlantı yaptığını sysmon ile de takip edebiliriz.

Dosya oluşturma zamanındaki değişiklikleri de takip edebiliyoruz Sysmon yaklaşık 22 tane event lerden oluşuyor bu eventlerden sysmon tarafından kurallar yazıp bu kurallar neticesinde eventlerin oluşmasını sağlayabiliriz.

Normalde bunlar default sysmon Windows Event Viewer’lar log yapısında loglanmazken sysmon sayesinde burada belirtilen eventler artık yazılan kurallar neticesinde loglanmaya başlanabiliyor.

Sysmon kurulumu ise oldukça basit linkten sysmon dosyasını indirdikten sonra işletim sistemi mimarisine göre indirmemiz gerekiyor

İndirdiğimiz zip dosyasını ayıkladıktan sonra komut satırımıza gelip sysmon dosyamızın bulunduğu yere giriyoruz sysmon -h parametresini kullanarak

Bilgi alıyoruz ardından  sysmon –i diyerek kurulumumuzu tamamlıyoruz

Sysmonu bu şekilde sisteme yükledikten sonra arka planda bir windows server olarak çalışıyor ve Eventwiever da sysmon eventlerini oluşturmaya başlıyor.

Şimdi ise nasıl kanfigüre ediyoruz ona bakalım olay görünteliyicimizi açıyoruz özel görünüm oluştur kısmına geliyoruz .

Ardından olay günlüklerine gelip sırasıyla

Uygulama ve Hizmet Günlükleri

Microsoft

Windows

Powershell diyip operational’ı tik işaretine alalım

Ardından sysmonu bulup tik işaretine alalım tamam diyelim

Burada ad kısmına istediğinizi diyebilirsiniz olay diyerek devam ediyorum.

Ve burada sysmon gördüğünüz gibi EventID’ler olay kimlikleri görülüyor

Özetleyeceksek olursak sysmon aslında bize windows tarafında defaultta üretilmeyen bizim ona verdiğimiz kurallar neticesinde bunları üretip bize windows tarafında görünürlüğü daha fazla arttırmamızı sağlıyor.

Sistemimizde kaldırmak istersek de komut satırına gelerek Sysmon.exe –u diyerek kaldırmış oluruz

Umarım SYSMON ile ilgili bu yazımı faydalı bulmuşsunuzdur. Okuduğunuz için teşekkürler.  🙂

Share this content:

Tags:

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Explore More

WAZUH ile WINDOWS’da DOSYA DEĞİŞİKLİKLERİ NASIL TESPİT EDİLİR?

Herkese selam! Bu yazımda ele aldığım konu WAZUH ile WINDOWS’da DOSYA DEĞİŞİKLİKLERİ NASIL TESPİT EDİLİR? , Keyifli Okumalar. 🙂 Bir önceki yazımda Wazuh’u Windows’a nasıl konfigüre edilir konusuna değinmiştim linkten

Read More

NMAP NEDİR ?

NMAP NEDİR? Herkese Selam! Bugün ele aldığımız konu nmap nedir , iyi okumalar 🙂  Ağdaki cihazların portlarına paketler gönderip, portların üzerinde çalışan servisleri ve versiyonları, portların açık olup olmadığını, cihazların

Read More

SPİDERFOOT NEDİR ? NASIL KURULUR ?

Herkese Selam! Bugün ele aldığımız konu Spiderfoot kullanımı ve kurulumu nedir , iyi okumalar 🙂 Spiderfoot kısaca ,belirli bir hedef hakkında bilgi sürecini otomatikleştirme işlevi olan açık kaynaklı bilgi toplama

Read More